[已弃用]AI Vectra Stream via Legacy Agent connector for Microsoft Sentinel
重要
现在,Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如需详细信息,请参阅查找 Microsoft Sentinel 数据连接器。
使用 AI Vectra Stream 连接器可以通过网络和云将 Vectra 传感器收集的网络元数据发送到 Microsoft Sentinel
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | VectraStream_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Vectra AI |
查询示例
列出所有 DNS 查询
VectraStream
| where metadata_type == "metadat_dns"
| project orig_hostname, id_orig_h, resp_hostname, id_resp_h, id_resp_p, qtype_name, ['query'], answers
每种类型的 DNS 请求数
VectraStream
| where metadata_type == "metadat_dns"
| summarize count() by qtype_name
对非现有域发出的前 10 个查询
VectraStream
| where metadata_type == "metadat_dns"
| where rcode_name == "NXDomain"
| summarize Count=count() by tostring(query)
| order by Count desc
| limit 10
使用非临时 Diffie-Hellman 密钥交换的主机和网站
VectraStream
| where metadata_type == "metadat_dns"
| where cipher contains "TLS_RSA"
| distinct orig_hostname, id_orig_h, id_resp_h, server_name, cipher
| project orig_hostname, id_orig_h, id_resp_h, server_name, cipher
先决条件
若要通过旧代理与 AI Vectra Stream 集成,请确保具备:
- Vectra AI Brain:必须配置为以 JSON 格式导出流元数据
供应商安装说明
注意
此数据连接器依赖于一个基于 Kusto 函数的分析程序,作为与 Microsoft Sentinel 解决方案一起部署的预期 VectraStream 工作。
- 安装并载入适用于 Linux 的代理
在单独的 Linux 实例上安装 Linux 代理。
只会从 Linux 代理收集日志。
- 配置要收集的日志
按照以下配置步骤将 Vectra Stream 元数据引入 Microsoft Sentinel。 利用 Log Analytics 代理将自定义 JSON 发送到 Azure Monitor,以便可以将元数据存储在自定义表中。 有关详细信息,请参阅 Azure Monitor 文档。
下载 Log Analytics 代理的配置文件:VectraStream.conf (位于 Vectra 解决方案中的 Connector 文件夹中:https://aka.ms/sentinel-aivectrastream-conf)。
登录到安装了 Azure Log Analytics 代理的服务器。
将 VectraStream.conf 复制到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 文件夹中。
如下所示编辑 VectraStream.conf:
i. 配置要将数据发送到的备用端口(如果需要)。 默认端口为 29009。
ii. 请将 workspace_id 替换为你的工作区 ID 的实际值。
保存更改并使用以下命令重启适用于 Linux 的 Azure Log Analytics 代理服务:sudo /opt/microsoft/omsagent/bin/service_control restart
配置并连接 Vectra AI Stream
配置 Vectra AI Brain,以通过 Log Analytics 代理将 JSON 格式的流元数据转发到 Microsoft Sentinel 工作区。
在 Vectra UI 中,导航到“设置”>“Cognito Stream”并编辑目标配置:
选择“发布者: RAW JSON”
设置服务器 IP 或主机名(运行 Log Analytics 代理的主机)
将所有端口设置为 29009(可根据需要修改此端口)
保存
设置日志类型(选择所有可用的日志类型)
单击“保存”
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。